NetScaler在结合Citrix做ICA代理的时候需要在NetScaler安装SSL证书,当然不做ICA代理的时候,走https协议的时候在Vserver的时候也是需要绑定SSL证书,这个没问题。当然在内网里面有时候web站点也走https同样也要安装和绑定证书,这时候一般都是获得服务器证书,打开IIS中对应的网站,选择添加网站绑定内容:选择类型为 https,端口 443 和指定对应的 SSL证书绑定后内网的网站就可以使用https正常访问Web站点。
最近在项目中NetScaler之前做的ICA代理使用的SSL证书过期,今天更换了一张SSL证书,我买的都是两年内有效的。今天换的SSL证书顺便记录一下步骤同样也分享一下。
1)回忆一下NetScaler的服务器证书的申请,(1)先创建一个私钥key,(2)创建一个证书请求文件,这里面有一部非常重要的就是需要输入公网的域名,(3)View这个证书请求文件拷贝里面的内容给第三方受信任的机构签发一张收信人的证书(4)上传这张证书到NetScaler并安装,(5)跟对应的Vserver绑定SSL证书即可。
2)我这边使用的证书都在一个朋友这边买的,买之前你肯定会做好Nat和有公网的域名绑定,然后把View里面的内容发给销售SLL证书的,大概半天的时间(因为需要同步)就会收到一张签发的证书,有些机构里面是三张证书(没有合并)这里主要说一下三张证书的情况:一般都是一张服务器证书、二张中级证书。
3)这个你要是不明白就打开证书可以看到颁发给你就知道了,办法给自己的公网域名那肯定就是服务器证书
4)拿到SSL证书后把这三张证书都upload,注意的事情是安装服务器证书后需要指定key安装即可
5)如果三张证书不做一个证书链很多场景中经常会出现NetScaler做ICA代理的时候,客户端访问经常出现各种错误甚至无法访问,这里我们需要把三张证书做一个证书链。
6)这步很关键,因为Server证书必须完整的证书链,需要关联两个中级CA.点击Server证书-Link 选择第一个中级证书CA1,然后选择第一个中级证书CA1 - Link 选择第二个中级证书 CA2确定。
7)证书链做Link的时候可以理解成 A信任B B信任C 那么A同样也信任C。
8)Netscaler上在AccessGateway中替换新旧证书(切换期间所有应用/桌面会中断)
9)打开浏览器访问站点,查看证书链接是否正确即可。
10!!!因为图片上传有点问题,要是有问题可以保持交流。
本文出自 “苦练七十二变笑对八十一难” 博客,请务必保留此出处http://10237709.blog.51cto.com/10227709/1789726
原文地址:http://10237709.blog.51cto.com/10227709/1789726